<
>

2021新闻稿

4月6日,2021年4月

高级威胁演员从事Cyber​​semage in Combersemage在新的活动中扮演他们的游戏

320年6月,卡巴斯基研究人员发现了一场越南政府和军事部门的高级讯连讯组竞选活动。最终有效载荷是远程管理工具,可以完全控制受感染的设备。进一步的分析表明,这一运动由与Cycldek相关的一组,这是一个汉语威胁小组,自2013年以来,它代表了在复杂性方面的重大进步。
 
中文威胁演员通常彼此分享他们的技术和方法,这使得卡巴斯基研究人员更容易寻找与此类众所周知的春季群体相关的先进持久威胁(APT)活动,作为Liplymouse,HoneyMyte和Cycldek。这就是为什么,当他们看到他们最着名的策略之一 - “DLL侧加载三合会” - 目标政府和越南军事实体,他们立即注意到。
 
DLL或动态链接库,是计算机上的其他程序使用的代码。在DLL侧加载中,合法签名的文件(例如来自Microsoft Outlook)被欺骗加载恶意DLL,允许攻击者绕过安全产品。在这最近发现的广告系列中,DLL侧加载感染链执行了解密最终有效载荷的ShellCode:远程访问Tymath Kaspersky命名的FoodCore,使攻击者完全控制受感染的设备。
 
然而,更有趣的是用于保护恶意代码免受分析的方法 - 一种方法,该方法向该地区的攻击者进行了重大进步。最终有效载荷的标题(代码的目的地和源)完全剥离,剩下的少数剩下的含量不连贯的值。在这样做时,攻击者使研究人员使研究人员更加困难,以便分析恶意软件。更重要的是,感染链的组分紧密耦合,意味着单件难以分离地分析,防止了恶意活动的完整图片。
 
卡巴斯基研究人员还发现,这种感染链正在下载两个额外的恶意软件。第一个丢弃电话从受害机器收集环境信息,并将其发送到Dropbox。第二个是CoreLoader,运行了帮助恶意软件逃避安全产品检测的代码。
 
数十台计算机受到这项运动的影响,其中80%的基于越南。然而,最多属于政府或军事部门,其他目标与健康,外交,教育或政治有关。中亚和泰国也有偶尔的目标。
 
“根据我们去年发现的Redcore恶意软件的丢弃恶意软件的相似性,我们将此活动归因于Cycldek的低信心,直到现在,我们曾考虑过了这一地区的讯讯讯讯讯讯讯讯讯竞争对手的跨汉语演员。然而,这一最近的活动表示他们的能力中的重大飞跃,“伊凡克斯基的伊万·克威特科斯基,卡巴斯基”全球研究和分析团队(Great)的高级安全研究员评论Ivan Kwiatkowski。
 
“一般来说,在过去的一年中,我们注意到,许多这些汉语群体都将更多资源投入其竞选和磨练其技术能力。在这里,他们增加了更多的混淆层,并显着复杂化了逆向工程。而这一信号可能希望扩展他们的活动。现在,它看起来好像这个广告系列更像是当地威胁,但很有可能在未来的不同地区的更多国家中找到,“高级安全研究员”的更多国家将在更多国家找到。
 
“鉴于这些汉语的团体倾向于彼此分享他们的策略,我们不会感到惊讶地在其他运动中找到这些相同的混淆策略。我们将密切关注类似可疑活动的威胁景观。对于公司来说,他们能做的最好的事情是使他们的公司能够以最新的威胁情报保持最新,因此他们知道要在寻找什么,“评论Pierre Delcher,高级安全研究员很棒。
 
为了保护您的公司免受高级持久威胁活动,如这些,卡巴斯基专家推荐:
 
安装防APT和EDR解决方案,实现威胁发现和检测,调查和及时修复事件能力。为您的SoC团队提供最新的威胁情报,并定期使用专业培训。以上所有内容都可以在卡巴斯基专家安全框架内提供。